最近,流行的视频会议应用程序Zoom修复了一个新的安全漏洞。该漏洞可能允许潜在攻击者破解用于保护平台上私人会议的数字密码,并窥探参与者。

漏洞成因

Zoom会议默认由六位数字密码保护,但据发现问题的SearchPilot副总裁Tom Anthony称,由于缺乏速率限制,“攻击者可以在几分钟内尝试全部100万个密码,并访问其他人的私人(受密码保护)会议。”

值得注意的是,Zoom早在今年4月就开始要求所有会议使用密码,以此作为打击Zoom爆炸袭击的预防措施,Zoom爆炸袭击指的是在未经邀请的情况下破坏和劫持Zoom会议,以分享淫秽和种族主义内容的行为。

Anthony在2020年4月1日向公司报告了这个安全问题。4月9日,Zoom修补了该漏洞的一周之后,Anthony提交了一个基于Python的概念验证脚本。

事实上,在默认情况下,会议是由一个六位数的密码保护的,这意味着最多只能有一百万个密码。但是,如果不检查是否存在连续重复的错误密码尝试,攻击者就可以利用Zoom的web客户端(zoom.us/j/MEETING_标 识)连续发送HTTP请求以尝试所有一百万个组合。

Anthony说:“通过修改线程,并分布在4-5个云服务器上,您可以在几分钟内尝试所有密码组合。”。

这次攻击与正在召开的会议有关,这意味着一旦密码被破解,坏人就可以进入正在进行的会议。

研究人员还发现,即使在预定的会议上也可以重复同样的程序,这些会议可以选择用一个较长的字母数字变体覆盖默认密码,并对前1000万个密码列表运行它,以暴力方式强制登录。

另外,在使用web客户端的登录过程中发现了一个问题:该客户端使用临时重定向来寻求客户对其服务条款和隐私政策的同意。

“在这个步骤中发送了一个CSRF HTTP报头,但是如果你忽略了它,请求仍然可以正常工作,”Anthony说CSRF的默认性使其更容易被滥用,但修复这一问题并不能为抵御这种攻击提供多少帮助。”

根据调查结果,Zoom在4月2日将web客户端脱机以减轻问题,然后在一周后发布修复程序。

在冠状病毒大流行期间,视频会议平台的使用量激增,引起了人们对一些安全问题的关注,随着缺陷的发现,Zoom迅速修补了缺陷,甚至宣布将终止发布新功能90天,以“更好地识别、解决和主动解决问题”

就在本月早些时候,该公司解决了其Windows应用程序中的一个零日漏洞,该漏洞允许攻击者在运行Windows 7或更早版本的受害者计算机上执行任意代码。

它还修复了一个单独的缺陷,该漏洞可能允许攻击者模仿一个组织机构,并通过社会工程攻击欺骗其员工或商业伙伴泄露个人或其他机密信息。

这种密码破解的攻击很常见,Zoom客户端曝出此漏洞实在是疏于防范。不法分子可以使用分布式的HTTP请求来尝试所有密码组合(其实根本不需要尝试100万次就可以破解)。zoom应该对一个重复尝试密码的会议房间进行连接冻结,并锁定破解密码的IP(对云服务器无效),及时保证会议的隐私性。

这对所有视频会议应用软件都敲响了警钟,保护用户的隐私与安全应放在第一位。

Last modification:August 10th, 2020 at 02:36 pm
如果觉得我的文章对你有用,请随意赞赏